Select Page

XML-RPC en waarom het tijd wordt deze uit te schakelen

XML-RPC en waarom het tijd wordt deze uit te schakelen

Vanaf het prille begin van WordPress zijn er features ingebouwd die de gebruiker om remote te werken aan je Site. Features die gebruikers toestonden om bijvoorbeeld om te linken aar een post een trackback te doen. Of zelfs vanaf een smartphone te bloggen op je website. XML-RPC zorgt er voor.

XML-RPC, of XML-Remote Procedure Call, zorgt voor deze functies in WordPress:

Blogs remote schrijven voor uw site.
Trackbacks en pingbacks wanneer andere sites verwijzen naar uw site
Jetpack functies

Maar er is een probleem met de XML-RPC, dat je moet oplossen om je WordPress site te beveiligen.

Wat is een XML-RPC en waar wordt het voor gebruikt?

In de vroege dagen van het bloggen (lang voordat WordPress bestond), surfden de meeste schrijvers op het internet nog steeds met behulp van dial-up verbindingen. Het was moeilijk om de berichten online te schrijven. De oplossing was de berichten op de computer offline te schrijvenen te bewerken. Mensen die dit deden met behulp van een tekstverwerker vonden dit een lastige methode, te meer omdat in hun berichte soms rare code stond. Zelfs als ze hun een document als HTML op ge slagen hadden.

Blogger creëerde een application programming interface (API), zodat andere ontwikkelaars toegang konden krijgen tot de blogger blogs. Hierdoor werd het mogelijk voor de schrijvers de blog offline te schrijven en vervolgens verbinding maken met Blogger-API door middel van XML-RPC. Andere bloggen systemen volgden, en er werd uiteindelijk een MetaWeblogAPI gebouwd die de standaard werd voor het offline creëren van blogs.

We gaan een jaar of tien verder in de tijd, vandaag hebben we allemaal een smartphone , we gebruiken apps op onze telefoons en tablets in plaats van onze computers. Een van de dingen die mensen willen doen met hun telefoons is het posten van content op hun WordPress sites. Automatic creëerde voor zowat elke besturings systeem apps om je WP site van content te voorzien. Deze stonden je toe om op elke blog waar je toegang (lees: username en password) voor had deze content te posten.

Dit gebeurt door middel van de Remote Procedure Calls – dat is wat RPC voor staat.

En nu moet je denken: “Oh, nee. Wat gebeurt er als iemand anders mijn wachtwoord krijgt Het antwoord is: Die “iemand anders” kan alles, wat jij kan doen op uw site doen. Want XML-RPC maakt geen onderscheid in gebruikers, ze zijn als het ware effectief u. Krijgt u al een misselijk gevoel?

Nog meer slecht nieuws: Als u Jetpack gebruikt om zijn prachtige functies te gebruiken op uw eigen gehoste site. Dan is het wellicht fijn te weten dat een aantal van die functies ook XML-RPC gebruikt om toegang te krijgen tot uw site.

Geschiedenis: Moet XML-RPC blijven of niet in WordPress?

XML-RPC-ondersteuning is onderdeel van WordPress vanaf de eerste dag geweest. Het is eigenlijk al zo dat XML RPC al onderdeel was va het b2 platform. Het is een deel van de pre geschiedenis va WordPress dus.

WordPress 2.6 werd uitgebracht op juli 15,2008. Enable XML-RPC werd toegevoegd aan de WordPress instellingen met de standaard instelling op “Off”. Een week later, de WordPress voor iPhone app werd uitgebracht, en de gebruikers werd gevraagd om de instelling op “On” te zetten.

Vier jaar na de iPhone app, in WordPress 3.5 is XML-RPC-ondersteuning standaard ingeschakeld en kreeg het een setting in het dashboard. En zo is het gebleven.

De belangrijkste zwakke punten in verband met XML-RPC zijn:

  • Brute force-aanvallen: Aanvallers proberen om in te loggen op WordPress met behulp van xmlrpc.php met zoveel gebruikersnaam / wachtwoord combinaties als ze kunnen. Eén methode binnen xmlrpc.php kan de aanvaller een enkel commando (system.multicall) gebruiken om honderden wachtwoorden te raden. Daniel Cid bij Sucuri beschreef het goed in oktober 2015: “Met slechts 3 of 4 HTTP-verzoeken, kon de aanvallers proberen duizenden wachtwoorden, inclusief het omzeilen van security tools die zijn ontworpen om brute force pogingen te monitoren en te blokkeren.”
  • Denial of Service-aanvallen via Pingback: In 2013, verzonden aanvallers Pingback aanvragen via xmlrpc.php van ongeveer 2.500 WordPress sites om er zo een vrijwillig botnet va te maken.”, aldus Gur Schatz bij Incapsula. “Dit geeft elke aanvaller een vrijwel onbeperkt aantal IP-adressen om een Denial of Service-aanval via een netwerk van meer dan 100 miljoen WordPress-sites verspreiden, zonder ze te beschadigen.”

Wat kan ik doen aan security met XML-RPC

Begrijp dat het beveiligingsprobleemniet echt XML-RPC zelf is, het probleem is dat aanvallers deze kunnen gebruiken als een andere manier om via brute-force uw gebruikersnaam en wachtwoord te vinden. Dus de beste manier om jezelf te beschermen is (nog steeds) lange, ingewikkelde wachtwoorden te gebruiken (of gebruik een password manager die ze kan creëren voor u). Maar dat is niet altijd even eenvoudig, vooral als je werkt met WordPress op verschillende computers.

Het beste wat je kunt doen om jezelf te beschermen vandaag de dag is om af te XML-RPC in uw Instellingen uit te zetten. Via uw .htaccess bestand kan u de toegang tot het xmlrpc.php bestand vergrendelen. We leggen hier onder uit uit hoe:

  1. Controleer of er een bestaand .htaccess bestand is.
  2. Als er geen bestaat, maakt u het bestand in de public_html/ wordpress map.
  3. Open het bestand in een teksteditor.
    Sommige plug-ins kan materiaal naar .htaccess hebt toegevoegd. Als u een bestaand bestand bewerkt, op zoek naar een WordPress sectie:

About The Author

Peter Kuipers

Peter is WordPress fanaat, Hosting en Linux specialist en uitgever van diverse online magazines. Daarnaast houd hij van Lekker eten, woont sinds kort in Oostende, en bezoekt regelmatig een WP Meetup.

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

Deze site gebruikt cookies om haar services te leveren, advertenties te personaliseren en verkeer te analyseren. Informatie over je gebruik van deze site wordt gedeeld met Google. Als je deze site gebruikt, ga je akkoord met het gebruik van cookies.

Sluiten